〜BREAK TIME〜

コンピュータウィルス緊急連絡三題!!(2/26)



名称 TROJ_SKA

別名 Happy99.exe

種別 その他

感染 なし

発見日 1999/1 発祥地 アメリカ

感染機種 WINDOWS95/98/NTが動作する環境(機種問わず)

発病日 なし 増加サイズ N/A

特徴
- これはワームに分類される破壊プログラムである。ネットワークやE-Mail、NewwsGroupを通じて他のマシンに感染を広げていくタイプであり、ローカルマシン内で他のファイルに感染することはない。このウイルスは、ユーザーの気づかぬうちに、メール送信時やニュースグループへの投稿時に「Happy99.exe」という名前のファイルを自動的に添付することによって、感染を広げていく。

- オリジナルファイル名は"Happy99.exe"という名前である。Windows32Bit環境でのみ動作可能である。

- このファイルを実行すると、"Happy New Year 1999!!"というメッセージを表示し、同時に花火の画像を表示する。きれいな画像だが、これはウイルスの動作からユーザの目をそらすための細工であると考えられる。





感染方法:
- このウイルスファイルが実行されると、\Windows\System ディレクトリに「SKA.EXE」という名前で自分自身の複製を作成する。この\Windows\System に、"SKA.DLL"という名称のファイルがあるかどうかを確認し、ない場合は、"SKA.EXE"から"SKA.DLL" というファイルを展開する。

- 次に、\%Systemroot%\Windows\System ディレクトリ内に、「WSOCK32.SKA」ファイルがあるかどうかを確認する。もしこの名前のファイルがない場合は、「WSOCK32.DLL」を「WSOCK32.SKA」という名前で複製して保存する。

- さらに"WSOCK32.DLL"を修正し、"EnumProtocolsW" と "WSAAsyncGetProtocolByName"というエクスポート関数へのフックを追加する。これらはウイルス自身の関数を指している。

- もし、実行時に"WSOCK32.DLL"がWINDOWSによって使用中であった場合は、このウイルスは以下のキーをレジストリに付け加える。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Ska.exe="Ska.exe"

 これによって、次にマシンを起動したときに一度だけ"SKA.EXE"が実行される。この場合、"WSOCK32.DLL"を他のアプリケーションが使用する前に、修正してしまう。

- "connect"と"send"エクスポート関数を修正された"WSOCK.32.DLL"は、マシンがネットワークにつながってメールを送るなどの動作があるかどうかを監視する。メールやニュースグループへの投稿する際に、これらの関数が呼び出されると、"mail"と"news"という二つのエクスポート関数をもつ「SKA.DLL」がロードされる。これにより、「SKA.EXE」をUUencode形式でエンコードした「Happy99.exe」を自動的に添付して送信させる。



備考
このSKA.EXEファイルは、HAPPY99.EXEの複製ではあるが、これ自身を実行しても、花火の画像を表示することはない。ただ、"WSOCK32.DLL"を修正するだけである。

**手動駆除手順**

●"Happy99.exe"を実行したとき、WSOCK32.DLLが使用中であり、なおかつ、まだ再起動していない場合

1."Happy.exe","SKA.exe","SKA.DLL","WSOCK32.SKA"を削除する

2.このとき、ウイルスは、レジストリに登録されるので、"regedit"を起動し、以下のレジストリの値を削除する。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Ska.exe="Ska.exe"



3.マシンを再起動する。

*この場合、"WSOCK32.DLL"と"WSOCK32.SKA"は全く同じものである。従って、"WSOC32.SKA"を削除しないでも別に害はない。

●"Happy99.exe"を実行したとき、WSOCK32.DLLが使用中であり、なおかつ、もう再起動してしまった場合、またはWSOCK32.DLLが使用中ではなかった場合


1."Happy.exe","SKA.exe","SKA.DLL"を削除する

2.このとき、ウイルスは、レジストリに登録されるので、"regedit"を起動し、以下のレジストリの値を削除する。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Ska.exe="Ska.exe"

3.SAFE MODEでWindowsを起動し、"WSOCK32.DLL"を削除する。

4."WSOCK32.SKA" を、"WSOCK32.DLL"にリネームする。

掲示板 もどる

 

「PE_CIH」ウイルスに注意


以下のように危険なウイルスが私の職場で発見されています。
下記解説を一読頂き感染防止に十分ご注意下さい。
 
<ウイルスの特徴>


98年8月にマスコミで大きく取り上げられ、騒ぎになったウイルス「PE_CIH」の一種です。
当時は実際の被害や感染例はほとんどなくマスコミの空騒ぎに終わったのですが、以後徐々に広がりつつあるようです。
私の職場で発見されたものはV1.2で、ウイルスバスターでは「PE_CIH V1.2」と表示されます。
Windows用実行形式のプログラム・ファイルに感染し、その感染ファイルを実行するとパソコンのハードディスク上にあるWindows用実行形式のファイルすべてに感染します。(実際のテスト結果ではウイルスの動作が不安定で、かならず感染するわけではありません)
特定の日時(ウイルスのバージョンによって異なる)に発病し、パソコンのハードディスク上のすべてのファイルを消去する悪質なものです。(危険なためテストしておりません)
詳細はトレンドマイクロ社のDBを参照下さい。
推定される侵入経路は
(1)FD・CD等の何らかの感染ファイル
(2)各ホームページ(WWWサーバー)やFTPサーバーから何らかのウイルス感染ファイルをダウンロード
(3)電話回線等でパソコン通信(BBS)のホスト局に接続、何らかのウイルス感染ファイルをダウンロード
しかしこのような状況でもウイルスバスターを正しく使用していれば感染することは有り得ません。
 


<ウイルスを検出したときの処置>


感染ファイルが1個のみの場合、そのPCは感染前なので該当ファイルを削除すればよい。
PCがすでに感染している場合は100個以上の感染ファイルが存在している筈です。
この場合(すでにウイルスに感染している)ウイルスバスターによる駆除操作では完全に処理することはできませんので、原則として必要なデータファイルや定義情報等のバックアップをとった後ハードディスクをフォーマットして下さい。
駆除操作ではいくつかのファイルから駆除されなかったり、駆除したファイルが誤動作・誤検出の原因になります。

 

「HllC.SPAWNER」ウイルス

ボーランド製のソフト開発ツールと、この開発ツールで作成されたソフトから「HllC.SPAWNER」ウイルスを検出するという報告があがっていますが、調査の結果これは誤検出で該当ファイルには同ウイルスは感染しておりません。
この現象のためメールサーバーで該当添付ファイルがウイルスと誤認され削除されることがあります。
本件は2月15日〜22日頃にパターンファイル「500」以降のバージョンで回避されます。
障害現象をご理解のうえ、対策完了までご了承下さい。

この誤検出は以下のウイルスバスター製品で発生しますのでご注意ください。

1.InterScan VirusWall(SMTPゲートウェー用製品)
2.ScanMail (NotesサーバーとExchangeサーバー用製品)
3.ウイルスバスター Corp3(現在評価中の製品)
4.ウイルスバスター98(パッケージ製品)